English Version

Die meisten Links führen direkt auf die entsprechende Datei beim meldenden CERT bzw. andere Organisation. Die ständige Aktualität (speziell welche Gegenmaßnahmen zu ergreifen oder welche Patches zu installieren sind) ist damit sichergestellt.
Die meisten nachgeladenen Texte sind auf englisch.
Übrigens: Wenn für Systeme Risiken veröffentlicht werden, heißt dieses nicht, daß die Systeme, für die keine Risiken veröffentlicht werden automatisch sicherer sind!

Windows for Workgroups hatten einen RAM-basierten Caching-Mechanismus für die Rechte von Benutzern für im Real-Mode arbeitende Applikationen implementiert; die Rechte wurden im Klartext gespeichert. Teile dieses Mechanismus wurden in Windows 95 und 98 weitergeführt, wenn auch lt. Microsoft nicht genutzt. Jeder Benutzer kann durch die gefundene Sicherheitslücke die Rechte der vorher am System angemeldeten Person nutzen, solange physikalischer Zugang zur Maschine besteht und sie noch nicht neu gestartet wurde.
Für die US-Version hat Microsoft jetzt Patches für Windows 95 und Windows 98 herausgebracht.

Der Internet Explorer 5 enthält ein Paket zum Offline-Browsen, das nicht per default installiert wird. In diesem Paket ist ein Task Scheduler (auch AT Service genannt) enthalten, der eine Sicherheitslücke enthält: Normale Benutzer können auf der Maschine Administrator-Rechte erhalten und auch Systemcode absetzen. Dieses Risiko betrifft lt. Microsoft nicht den NT Schedule Service).
Der IE 5 Task Scheduler kontrolliert, wer AT Jobs anlegen und absetzen kann. Dieses Utility kann eigentlich nur vom Administrator aufgerufen werden und es werden auch   nur AT Jobs unter dem Administrator-Account durchgeführt. Eine dem Administrator gehörende Datei kann allerdings von einem Angreifer so modifiziert werden, daß sie als gültiger AT Job erscheint und im entsprechenden Verzeichnis ausgeführt wird. So wird der Kontrollmechanismus ausgehebelt und der Job (unberechtigterweise) ausgeführt.
Dieses Risiko ist im IE 5.01 nicht mehr enthalten. Der Link zeigt auf die gerade erschienene US-Version.

Hewlett-Packard hat für HP9000 Series 800 S/X/V Class Server herausgefunden, daß über den Service Support Processor (SSP) Angreifer über das Netzwerk Zugang zur S/X/V Console erhalten könen. Dieses betrifft Plattformen, die eine Teststation Software für V22x0 unterhalb der Version 5.1.2, sowie alle Versionen für die S/X-Klasse, als auch in der V2500-Klasse Versionen unterhalb von 1.1.1 einsetzen.
Es wird empfohlen, den für alle Versionen einsetzbaren Patch zu installieren.

Das US-CERT betont, daß neben vielen anderen Aktivitäten speziell Scans nach Sicherheitslücken heute sehr verbreitet sind.
- Verbreiteter Einsatz von Werkzeugen z.B. für Denial-of-Service Angriffe, Sniffer
- In verschiedenen Distributionen des Common Desktop Environment (CDE) sind Lücken gefunden worden, die dazu führen können, daß Unberechtigte Administrationsrechte auf der Maschine erhalten.
- Im BIND des Internet Software Consortiums (ISC) wurden verschiedene Lücken gefunden. Eine von diesen kann Angreifern die Möglichkeit bieten, Root-Access zum Nameserver zu erhalten. Die anderen Angriffe stören den Betrieb des Nameservers.
- Im verbreiteten WU-FTPD und anderen FTP Servern, die auf den WU-FTPD aufsetzen, sind drei Sicherheitslücken bekannt geworden, Angreifer können sowohl lokal als auch über das Netzwerk beliebigen Code mit den Rechten des FTPD (normalerweise root) auf der Maschine ausführen. 
- Im amd Daemon ist im Logging-Teil eine Möglichkeit zum Pufferüberlauf gefunden worden. Angreifer können über das Netzwerk beliebigen Code mit den Rechten des FTPD (normalerweise root) auf der Maschine ausführen.
- Das US-CERT erhält immer wieder Meldungen über Angriffe, die drei Lücken in RPC ausnutzen: rpc.cmsd, ttdbserverd und statd/automountd. Dieses kann auf angreifbaren Systemen den Root-Account kompromittieren.
- Das US-CERT erhält immer wieder Berichte über Schäden, die durch Viren entstehen. Verwenden Sie aktuelle Anti-Virus Software, um diesen vorzubeugen!
- Noch immer werden sehr viele Reports über Scanning und Probing erhalten. Die meisten hiervon zielen auf bekannte Sicherheitslücken ab. Insofern sollten Systeme immer auf dem aktuellen Stand der Technik gehalten werden.

Das US-CERT hat verstärkt Berichte erhalten, nach denen Angreifer Tools für Denial-of-Service Angriffe in Netzwerken installieren und in Betrieb nehmen. Dieses umfaßt auch groß angelegte Paketfluten an verschiedene Systeme. Zwei der Tools, Trinoo und Tribe Flood Network (TFN), werden im Advisory näher beschrieben.

Der syslog-Daemon arbeitet mit Unix Domain Strream Sockets für den Empfang von lokalen Log-Verbindungen. Indem Benutzer sehr viele dieser Verbindungen anstoßen besteht die Gefahr, daß die Maschine stehenbleibt. Es wird empfohlen, die entsprechenden Patches zu installieren.

Pine-Versionen unterhalb Version 4.21 haben eine Sicherheitslücke, wenn URL's angeschaut werden. Wird eine E-Mail mit einem speziellen URL geschickt, kann der Absender und somit potentielle Angreifer beliebigen Code auf dem Empfängerrechner ausführen.
Auf Linux-Systemen werden Messages normalerweise mit dem syslogd verarbeitet. Der momentan im OpenLinux enthaltene syslogd hat ein Problem, das lokale Benutzer dazu ausnutzen können, einen Denial-of-Service Angriff gegen die Maschine zu fahren - Grund ist, daß viele Applikationen wie z.B. login, su, sendmail, telnetd etc. ihre Messages an den syslogd ausliefern müssen, um zu funktionieren.
Die bereits über das CERT gemeldeten Sicherheitslücken betreffen auch OpenLinux.
Im NFS Daemon ist eine Möglichkeit gefunden worden, einen Pufferüberlauf zu provozieren, wodurch ein lokaler Angreifer Root-Rechte auf der Maschine erreichen kann.
Es wird dringend empfohlen, die in den Advisories genannten Patches zu installieren.

Der thttpd Web Server führt in der Funktion tdate_parse() eine ungenügende Überprüfung der übergebenen Parameter aus. Daher kann hier der statische Puffer zum Überlauf gebracht werden, was zur Folge haben kann, daß beliebige Kommandos mit den Rechten des thttpd auf der Maschine ausführbar sind.
Der syslogd-Server benutzt zum Empfang von Nachrichten über syslog(3) Unix Stream Sockets (/dev/log). Diese arbeiten verbindungslos, daher ist ein Prozeß hierfür notwendig. Durch das Öffnen sehr vieler syslog-Verbindungen können Benutzer dafür sorgen, daß das System nicht mehr reagiert.
Es wird dringend empfohlen, die auf SuSE's Webpage for Patches veröffentlichten Patches zu installieren.

Debian GNU/Linux 2.1 ist gegenüber den neueren Denial-of-Service Angriffen gegen BIND anfällig. Es wird dringend empfohlen, die im Advisory genannten Patches zu installieren!

Seit Version 2.6 sind verschiedene Verbessrungen an OpenSSH gemacht worden. Ein Jumbo patch steht zur Verfügung. Bemerkung: /etc/sshd_config und /etc/ssh_config müssen angepaßt werden.
Fortran funktioniert nicht richtig. Die Datei /usr/include/g2c.h ist nicht im Paket enthalten. Es gibt einen Patch, der dieses Problem beseitigt. Der Patch paßt den Tree an und beschreibt, wie der include file richtig eingebunden wird.

ISS berichtet über 16 neue Sicherheitslücken:
- ssh-rsaref-bo
- win-fileurl-overflow
- (broken URL: http://www.technotronic.com/rfp/) ie-active-setup-control
- oracle-appserver-apchlctl
- oracle-appserver-owslctl
- bind-nxt-bo
- freebsd-seyon-dir-add
- viruswall-helo-bo
- realserver-g2-pw-bo
- nt-printer-spooler-bo
- nt-services-exe-dos
- netscape-huge-key-dos
- gauntlet-bsdi-bypass
- netscape-malformed-pfr-dos
- raptor-ipoptions-dos
- ie-iframe-exec
Weitere Informationen finden sich auf dem Server von ISS.

Wie berichtet wurde, existieren in BIND einige Lücken. SCO hat für UnixWare 2.1.3 und UnixWare 7.0.0 bis 7.1.1 Binary Patches herausgebracht. Es wird dringend empfohlen, die Patches (letter) zu installieren.

Wie bereits gemeldet wurde, können alle BIND 4 und BIND 8 Versionen unter bestimmten Umständen zum Absturz gebracht werden. Zusätzlich bestehen in Bind 8.2 und BIND 8.2.1 Möglichkeiten, Pufferüberläufe zu provozieren und damit Administrationsrechte auf dem Nameserver zu erhalten. Der rpc.nfsd ist Teil des NFS-Server Pakets und zeigt zwei Sicherheitslücken. Durch einen Pufferüberlauf kann ein Angreifer Root-Rechte auf der Maschine erhalten. Schreibzugriff auf das exportierte Dateisystem ist notwendig. Ein anderes Sicherheitsproblem betrifft unkorrektes root_squash Exportverhalten.
Es wird dringend empfohlen, die auf SuSE's Webpage for Patches veröffentlichten Patches zu installieren.

In Windows 95 und Windows 98 ist in der Netzwerksoftware (MSNET32.DLL) eine Möglichkeit gefunden worden, einen Pufferüberlauf zu provozieren. Hierbei ist der Fehler in den Routinen, die Strings mit Dateinamen verarbeiten. Wird ein sehr langer, mit zufälligen Zeichen versehener String übergeben, stürzt die Maschine ab. Unter Umständen kann, wenn spezielle Daten übergeben werden, auch beliebiger Code während des Absturzes auf der Maschine ausgeführt werden. Über das Netzwerk ist diese Lücke durch Links der Form file://URL oder durch einen Universal Naming Convention (UNC)-String (z.B. \\system\directory\file.dat ausnutzbar, oder auch durch ein Attachment an eine Mail mit sehr langem Dateinamen.
Für die US-Version hat Microsoft entsprechende Patches herausgebracht: Windows 95 bzw. Windows 98

Ein spezielles ActiveX Control kann Cabinet-Files (.cab) auf der lokalen Maschine laden und ausführen. Es besteht die Möglichkeit, daß über HTML-Mail ein "spezielles" cab-File unauffällig auf den PC gebracht und ausgeführt wird. Wenn der Benutzer diese Datei öffnen wollte, bekommt er eine Fehlermeldung - aber abhängig von der Mail-Installation kann u.U. eine Kopie angelegt werden. Das Control könnte über Script in der Mail angesprochen werden und dann den Code ausführen.
Dieses Risiko besteht nur dann, wenn im Mail-Reader die Ausführung von HTML-Scripten gestattet ist und temporäre Kopien an den bekannten Stellen im Rechner gespeichert werden. Der Patch beschränkt im Prinzip nur die Ausführungsmöglichkeiten von cab-Files.
Benutzer des Internet Explorers 4.01 SP1 sollten erst auf den SP2 upgraden, bevor sie den Patch einspielen. Patches können im Bereich WindowsUpdate, der IE-Downloadarea und hier heruntergeladen werden.

Die Version des proftpd, die mit Debian GNU/Linux 2.1 ausgeliefert wurde, hat einige Möglichkeiten zu Pufferüberläufen und auch bei der Version des NFS-Servers in diesem Release besteht die Gefahr eines Pufferüberlaufes. In den Advisories finden sich nähere Informationen über die Verfügbarkeit von Patches.

Im BIND, den im Internet am meisten eingesetzten Nameserver des Internet Software Consortiums (ISC), sind sechs Sicherheitslücken gefunden worden. Durch eine dieser Lücken können Angreifer Administrationsrechte auf dem Nameserver erlangen. Die Lücken sind:
"nxt bug": Einige Versionen des BIND überprüfen NXT Einträge nur ungenügend. Hierdurch kann ein Pufferüberlauf provoziert werden, durch den der Angreifer beliebigen Code auf der Maschine mit den Rechten des Nameservers (normalerweise root) ausführen kann. NXT wurde in BIND 8.2 neu eingeführt. Vorherige Versionen, auch BIND 4.x sind nicht empfindlich. ISC hat dieses Problem in Version 8.2.2 behoben.
"sig bug": Diese Lücke basiert darauf, daß SIG Records nicht richtig ausgewertet werden und als Folge kann der Nameserver abstürzen. SIG Records werden ab BIND 4.9.5 und 8.x unterstützt.
"so_linger bug": Durch ein nicht korrektes Schließen von TCP-Verbindungen können Angreifer dafür sorgen, daß der Nameserver bis zu 120 Sekunden "pausiert". Regelmäßig eingesetzt, können so Angreifer ernsthafte Denial-of-Service Angriffe gegen den Nameserver führen.
"fdmax bug": Angreifer können u.U. mehr File-Descriptors anfordern, als der BIND verträgt. Ein Absturz ist die Folge.
"maxdname bug": Durch einen Fehler beim Kopieren von Daten, die über das Netzwerk kommen, ist es Angreifern möglich, den Nameserver im Betrieb zu stören, ggf. auch zum Absturz zu bringen.
"naptr bug": Einige Versionen des BIND können Zonendaten, die aus Dateien gelesen werden, nicht genügend überprüfen. Unter gewissen Umständen kann hierdurch der Nameserver abstürzen. Lokale Benutzer mit Schreibzugriff auf die Zonendaten können so den Nameserver zum Absturz bringen.
Eine Zusammenfassung und Übersicht findet sich im Advisory des ISC, systemspezifische Informationen beim CERT.

OpenSSH 2.6 unterstützte bisher keine vom Benutzer angelegten ~/.ssh/known_hosts Files (source), m4 funktioniert im Release 2.6 nicht so richtig (source), jeder Benutzer kann die Interface-Media Konfiguration ändern (Patch (!)) und eine Race Condition in newsyslog(8) kann Fehler beim Tausch von Logdateien zur Folge haben (Patch).

Im Oracle Application Server (OAS) bestehen bis zur Version 4.0.8 verschiedene Lücken, über die Unberechtigte Administrationsrechte erhalten können. Angreifer können diese Lücke dazu nutzen, Dateien die dem Administrator gehören, zu löschen oder aber auch einen Root-Zugang zu erhalten. Hierzu ist ein Account auf der Maschine notwendig. Informationen finden sich in Oracle's web-basierten Metalink System unter http://metalink.oracle.com. Hier sollte im erweiterten Modus nach Dokument Nr. 76484.1 gesucht werden.

Im ypserv-Paket mit dem ypserv NIS-Server und dem yppasswd Server zum Ändern von Passworten sind Sicherheitslücken gefunden worden. Ebenso sind Lücken in den initscripts, im NFS sowie im BIND (siehe auch CA-99-14) vorhanden. Es wird empfohlen, die entsprechenden Patches einzuspielen.

Im SCO OpenServer sind einige Sicherheitslücken gefunden worden, über die normale Benutzer auf nicht verbesserten Maschinen Administrationsrechte erlangen können. Betroffen hiervon sind die SCO Produkte OpenServer Versionen 5.0.0 bis 5.0.5. Ein vorläufiger Patch wurde veröffentlicht (Text).

Der auf dem Cobalt Server laufende Mailserver Majordomo zur Verwaltung von Mailinglisten legt diese mit einem Default-Passwort an. Jemand, der dieses Passwort weiss, kann jede hier laufende Mailingliste übernehmen. Durch die Installation der Patches (Ra2Q, Qube2) werden zwei zufällige Passworte generiert: Eines für den List-Owner und eines für den Listen-Moderator.

In der Version 3.3.2 des Zeus Web Servers ist im eingebauten Suchmodul eine Sicherheitslücke gefunden worden. Hiervon betroffen sind die Versionen des Zeus Servers 3.3.x vor 26.10.99, bei denen das Suchmodul eingeschaltet ist (Default ist, daß es deaktiviert ist). Besonders problematisch ist diese Lücke, wenn der Web Server als root läuft und dann CGI's ausgeführt werden können. Das Problem ist inzwischen für alle Plattformen behoben, wie die neuen Binaries installiert werden können, ist im Advisory beschrieben.

Der bisher von Microsoft herausgegebene Patch hatte noch weitere Sicherheitslücken, er ist für den Internet Explorer 5 neu herausgegeben worden. Näheres in der o.a. Meldung von Microsoft.

Einige API's im Windows NT 4.0 Drucker-Spooler Subsystem führen eine mangelhafte Bereichsüberprüfung durch. Werden spezielle Daten als Input geliefert, kann der Durcker-Spooler Service abstürzen oder auch beliebiger Code auf der Maschine ausgeführt werden. Es handelt sich hierbei um klassische Pufferüberlauftechnik. Durch eine zweite Sicherheitslücke können Benutzer ihren eigen Code als Print-Provider anbieten. Da es sich bei diesem Dienst um einen handelt, der im Systemkontext läuft, kann auch hier beliebiger Code auf der Maschine ausgeführt werden.
Es wird dringend empfohlen, die bisher nur für die US-Version erschienenen Patches für X86 und Alpha zu installieren.

Hier sind die Meldungen vom Oktober 1999, September 1999, August 1999, Juli 1999, Juni 1999, Mai 1999, April 1999 und März 1999 zu finden